Mimo, że IPsec skutecznie blokuje możliwość podglądania danych w trakcie ich przesyłania pomiędzy lokalizacjami przedsiębiorstwa, to nie zapewnia ochrony w razie udanego ataku na jedną z nich. Gdy ten się powiedzie, hakerzy – stosując technikę tzw. ruchu bocznego (lateral movement) – będą mogli zdobyć dostęp do infrastruktury innych lokalizacji czy firmowego centrum danych. W tym kontekście przypominany jest jeden z największych cyberataków w historii. W maju 2017 r. ransomware WannaCry zaszyfrował ponad 300 tysięcy komputerów na całym świecie. Atak, który miał swój początek na Ukrainie, dotknął wiele firm korzystających z połączeń VPN zestawionych ze swoimi ukraińskimi, źle zabezpieczonymi oddziałami.

– WannaCry do infekcji wykorzystywał krytyczną podatność MS17–010 protokołu SMBv1 i rozprzestrzeniał się błyskawicznie, chociaż stosowna poprawka została wydana przez Microsoft już w marcu 2017 r., a więc dwa miesiące przed atakiem – przypomina Paweł Zwierzyński, inżynier sieciowy w Vernity.

Ataku można było uniknąć poprzez załatanie systemów operacyjnych Windows, co eliminowało podatność protokołu SMBv1. Ale, chociaż z pozoru aktualizowanie Windows wydaje się zadaniem prostym i możliwym do natychmiastowego wykonania, to w skomplikowanych środowiskach korporacyjnych odpowiednia łatka musi być uprzednio zweryfikowana i przetestowana, co przyczynia się do powstawania opóźnień i pozostawia furtkę otwartą dla potencjalnych infekcji. Problem z nie zawsze dostępnymi i opóźniającymi się aktualizacjami rozwiązuje „wirtualne patchowanie”, czyli zastosowanie systemów typu IPS (Intrusion Prevention System).

– Jako odrębny system lub firewall z dodatkowymi funkcjami ochronnymi, IPS aktywnie skanuje ruch sieciowy, a następnie, wykorzystując bazy sygnatur, wykrywa próby ataku. W efekcie jesteśmy w stanie zapobiec infekcji systemów z podatnościami, nawet bez ich aktualizowania – tłumaczy Paweł Zwierzyński.

IPS to tylko jeden ze sposobów dodatkowego zabezpieczenia połączeń pomiędzy zdalnymi oddziałami. Nowoczesne platformy firewall umożliwiają rozszerzenie ochrony o dalsze funkcje. Jedną z nich jest możliwość konfigurowania reguł polityki dostępowej nie tylko w warstwach L3/L4 (adresy IP i porty usług), ale także w warstwie L7, czyli na poziomie samych aplikacji. Warto także uruchomić sandboxing, zapewniający analizę nieznanych zagrożeń poprzez ich uruchamianie w odseparowanym od reszty infrastruktury środowisku.

Trendy na rynku firewalli  

 

Według analityków Gartnera producenci zapór sieciowych koncentrują się obecnie na: ulepszaniu zaawansowanych możliwości wykrywania zagrożeń i reagowania na nie, bezpieczeństwie Internetu Rzeczy (IoT), integracji z chmurą publiczną oraz wykrywaniu i reagowaniu na ataki ransomware. W odpowiedzi na wzrost udziału pracy hybrydowej, dostawcy rozwijają chmurowe usługi FWaaS, aby oferować bardziej elastyczną i niezależną od lokalizacji ochronę sieci. Na rynku odnotowano ostatnio kilka dużych przejęć, w ramach których dostawcy firewalli rozszerzyli swoją ofertę – przede wszystkim o rozwiązania z obszaru FWaaS, SD-WAN i segmentacji bazującej na tożsamości, znanej również jako mikrosegmentacja. W ten sposób powiększają portfolio produktów, aby odpowiadać na potrzeby firm, które chcą konsolidować swoje środowisko ochronne z wykorzystaniem rozwiązań tylko jednego dostawcy.

  

Bezpieczne sieci z SD-WAN

Lepszym rozwiązaniem od VPN-a mogą okazać się programowe sieci rozległe, czyli Software-Defined Wide Area Network (SD-WAN). W porównaniu z klasycznym środowiskiem sieciowym, w którym cała komunikacja wewnętrzna i zewnętrzna musi przechodzić przez jeden punkt agregujący (np. znajdujący się w centrali firmy), SD-WAN znacznie ułatwia dostęp do usług chmurowych. Ich wykorzystanie w ostatnim czasie gwałtownie wzrosło, a SD-WAN umożliwia stworzenie najkrótszej ścieżki do dostawcy takich usług, co przekłada się na jak najbardziej optymalne wykorzystanie łączy. Z drugiej strony jednak mogą pojawić się wątpliwości dotyczące bezpieczeństwa, ponieważ SD-WAN zakłada użycie w sieci rozległej przedsiębiorstwa różnych mediów transmisyjnych (w tym niezabezpieczonych łączy internetowych).

Sieci SD-WAN dają jednak możliwość nie tylko uruchomienia ochrony na urządzeniu w zdalnym oddziale (firewall, system wykrywania intruzów itp.), ale także skorzystania z usług w centrali albo dowolnym innym punkcie, w którym przekierowany ruch poddany zostaje szczegółowej inspekcji. Znacznym ułatwieniem w kwestii bezpieczeństwa jest też możliwość centralnego zarządzania i w dużej mierze zautomatyzowanego konfigurowania SD-WAN. Przy planowaniu infrastruktury należy ustalić miejsca dostępu, w których będą znajdować się wybrane urządzenia, a także szczegóły adresacji i portów, podział na VLAN-y, routing i sposób zabezpieczania. Ułatwieniem okazują się w tym przypadku dostępne szablony, umożliwiające wcześniejsze przetestowanie konfiguracji, a potem instalowanie sprzętu w sposób niemal bezobsługowy (dostawcy nazywają tę metodę „zero-touch”).